Культура ИБ

В этом выпуске рубрики мы поговорим о культуре информационной безопасности (Культура ИБ). Вы спросите: какая связь между такой серьезной темой, как информационная безопасность и культурой? Для ответа достаточно вспомнить, что культурная среда не ограничивается лишь эстетической стороной вопроса. Например, культура питания – это не только крахмальные скатерти и тонкий фарфор. Она также включает в себя правила гигиены приготовления и приема пищи вкупе с умением поддерживать хороший тон в общении за столом. Словом, культура – это модель поведения: набор установок, комплекс полезных навыков и позитивных эмоций, делающих как нашу жизнь, так и бизнес более комфортными и безопасными.

Понятия «культура» и «безопасность» впервые были объединены в докладе Международной консультативной группы по ядерной безопасности в 1986 году. Тогда же были заложены основы Культуры безопасности. Нетрудно догадаться, какие события послужили причиной: эксперты признали отсутствие культуры безопасности персонала станции одной из причин аварии на Чернобыльской АЭС. И у бизнеса с атомной энергетикой есть нечто общее: в случае утечки как радиации, так и важной коммерческой информации, ситуация может быстро выйти из-под контроля, а масштаб последствий при этом не всегда поддается прогнозу. Поэтому каждому бизнесу необходима собственная «зона отчуждения» - запрещенная для свободного доступа информационная «территория».

Термин Культура ИБ может кому-то показаться новым и незнакомым, но лишь на первый взгляд. При ближайшем рассмотрении мы обнаружим, что в CARCADE действительно уже существует культура информационной безопасности и все вместе мы активно ей следуем.

Защита информации, как важнейшая составляющая безопасной работы бизнеса, требует существенной финансовой поддержки: технологии, оборудование, зарплата специалистам. Руководство CARCADE играет ключевую роль в формировании Культуры ИБ: инициирует и поддерживает политику информационной безопасности, выделяет необходимые денежные средства, и, конечно же, подает личный пример. Без денег невозможно техническое обеспечение и работа специальных подразделений, а личный пример побуждает остальных членов коллектива проявлять сознательность. Но подобно тому, как в обществе невозможна полная саморегуляция, в рамках даже самой сознательной компании тоже никак не обойтись без «законодательных инициатив». По аналогии с Правилами дорожного движения, четко установленные правила и контроль за их исполнением неизбежны даже там, где каждый осведомлен о потенциальной опасности. Принципы работы с информацией устанавливаются на уровне всей CARCADE и едины для всех подразделений, включая руководство.

Далее эстафету по защите информации принимает Департамент информационной безопасности CARCADE (ДИБ): здесь идентифицируются риски информационной безопасности и разрабатываются мероприятия, которые призваны смягчить эти самые риски до приемлемых уровней. Но если ДИБ разрабатывает мероприятия, то участвовать в этих мероприятиях приходится всем департаментам, а особенно департаменту информационных технологий, сотрудники которого занимаются технической реализацией программно-аппаратных средств защиты информации. Помимо технической стороны вопроса существует еще организационная, для чего из обширного пласта знаний по защите информации выделяется именно то, что необходимо в условиях работы CARCADE. На данной основе ДИБ создает регламенты, направленные на безопасное обращение с информацией. Наш процесс разработки регламентов информационной безопасности является уникальным и применяется лишь в небольшом числе российских компаний: все организационные мероприятия сначала существуют в проектном виде и «обкатываются» на практике. После того как выявлены «подводные камни» практического внедрения, и все участники процессов защиты информации начинают принимать изменения без негативных эмоций, то тогда уже работающие процедуры описываются и становятся узаконенными регламентами, обязательными к выполнению. Таким образом, организационные меры защиты информации органично вписываются в нашу общую корпоративную культуру, а не являются чужеродными цитатами из учебников.

Итак, известны основные риски в части утечки информации, проводятся защитные и профилактические мероприятия. Но еще остается пресловутый «человеческий фактор», способный свести на нет все усилия по созданию различных информационных ценностей: которые включают базы данных о клиентах и партнерах, продуктовые программы и разнообразные ноу-хау. Здесь помогает сознательная бережливость сотрудников CARCADE по отношению к информации: если мы создаем некие ценности, то они должны работать только на нас, а не на конкурентов. Защита информационных ресурсов является гарантией того, что компания будет развиваться, а развитие в свою очередь означает, что ресурсов хватит на все – и на хорошие премии, и на корпоративные программы и, конечно же, на новые разработки. Возвращаясь к аналогии с атомной энергетикой, можно отметить, что информация способна обеспечить компании такое же стратегическое преимущество, но вместе с тем и требует к себе особого отношения.

Бизнес CARCADE непрерывно растет, следовательно, численность команды также постоянно увеличивается. И к ней присоединяются люди, которые уже осознают ценность информации или очень быстро перенимают принципы Культуры ИБ в CARCADE, ведь новичок сразу же погружается в атмосферу, где принято бережное и внимательное обращение с информационными ресурсами. Даже если кто-то следует некоторым правилам безопасности просто по привычке, то в любом случае подает положительный пример. Однако система адаптации новых сотрудников в компании не ограничивается лишь созданием комфортной обстановки в коллективе: для быстрой и успешной интеграции в работу CARCADE их сразу же знакомят с важными регламентами, они проходят разнообразные программы обучения, принята практика наставничества. Каждый новый сотрудник впитывает в себя правила, знания и заработанный целыми поколениями «каркадовцев» опыт и таким образом ассимилируется в общую корпоративную культуру.

Да, именно так и создается загадочная Культура ИБ: не возникает за несколько дней, а формируется постепенно, вместе с компанией и ее командой. И существует она не в бумажных массивах, а в сознании каждого из нас, в наших действиях и устремлениях. Такой механизм защиты оберегает нашу информацию не менее эффективно, чем современные технологии. Именно благодаря наличию культуры информационной безопасности CARCADE получает возможность еще больше расти и развиваться, а значит и оставаться лидером на рынке лизинговых услуг.